Эксперты Positive Technologies приняли активное участие в «Инфофоруме» — 17-й национальной конференции по информационной безопасности. Борис Симис рассказал, чем отличается реальная безопасность от бумажной, а Евгений Миньковский продемонстрировал способы защиты от таких атак, как Heartbleed.
Заместитель генерального директора Positive Technologies по развитию бизнеса Борис Симис выступал с докладом «5 ножей в спину бумажной безопасности» на пленарном заседании «Информационная безопасность России в условиях глобального информационного общества». Он представил собравшимся те шаги, реализация которых позволит не только кардинально поднять уровень защищенности информационных систем, но и оптимизировать все процессы ИБ.
«Мы много говорим о выборе правильной политики, новых требованиях по защите персональных данных, построении взаимоотношений со службой ИБ и руководством, корректном измерении эффективности процессов и взаимосвязи ITIL/ITSM и ISO 27001/27002, — отметил Борис Симис. — Но это не делает наши системы более защищенными. Более того, системы усложняются, и защита за ними не поспевает. А теперь, когда модель нарушителя Н6 превращается из абстракции в реальную угрозу нашим IТ-инфраструктурам, такой подход недопустим».
Борис рассказал о многочисленных мифах, бытующих в отношении защищенности внутреннего и внешнего периметров компаний, а также реальном положении дел — поделился данными исследований Positive Technologies. К примеру, известно, что сегодня внешний нарушитель может получить доступ к узлам внутренней сети в 9 из 10 систем, а в 55% случаев злоумышленник получит полный контроль над всей инфраструктурой компании.
Отдельная проблема — веб-приложения. Утверждения «мой сайт — всего лишь визитка, конфиденциальных данных там нет» и «провайдер позаботился о защите портала» — сильно устарели. По статистике, более 40 % успешных атак на внутреннюю сеть проводятся через взлом веб-сайтов, причем классические СЗИ не останавливают злоумышленников.
Большой интерес на «Инфофоруме» вызвал мастер-класс консультантов Positive Technologies Евгения Миньковского и Михаила Голованова «Как взламывали и защищали сети в 2014 году». Участники занятия, вооружившись ноутбуками, практиковались в самостоятельной эксплуатации наиболее громких уязвимостей 14-го года и смогли оценить эффективность различных методов противодействия атакам.
«Многие слышали, к примеру, о Heartbleed, но не сталкивались с этой уязвимостью в своей деятельности, — рассказал Евгений Миньковский. — Мы предложили студентам, преподавателям, специалистам по ИБ, присутствующим на форуме, собственноручно реализовать атаку на стенде, "пощупать" скрипты своими руками, подсмотреть пароли, которые гуляют в зашифрованном трафике. Для ряда экспертов, уверенных в том, что Heartbleed — уже вчерашний день, было сюрпризом наличие этого бага в самых разных встраиваемых системах — и то, насколько сложно его устранить».
Эксперты Positive Technologies построили на форуме специальный учебный стенд; участники занятия проникали внутрь сети, подслушав и захватив пароль при помощи Heartbleed, затем попадали на уязвимый сервер и закачивали на него веб-шелл, после чего осуществляли атаку Shellshock. Оказавшись внутри Windows-машины, «взломщики» повышали привилегии от простого пользователя до локального администратора, используя уязвимости Windows-домена, а чуть позже получали права доменного администратора с помощью уязвимостей в аутентификационных системах Microsoft.
Ведущие мастер-класса отметили, что за два года существования уязвимых версий OpenSSL было произведено множество таких проблемных устройств, для которых обновления либо уже не выпускаются, либо установить их чрезвычайно непросто. «Повезло» лишь тем, кто так долго не обновлял версии OpenSSL, что не столкнулся с Heartbleed. Впрочем, летом 2014 года в OpenSSL нашли другую критически опасную уязвимость, которой уже не два года, а 16 лет! Поэтому единственный реалистичный подход к защите в системах, где OpenSSL невозможно исправить — установка межсетевых экранов, которые будут брать на себя функцию SSL-терминаторов, самостоятельно обслуживая SSL-трафик и снимая криптографическую нагрузку с веб-сервера. «Мы были приятно удивлены возможностями нашего собственного продукта PT Application Firewall, когда обнаружили, что его эвристические механизмы позволили успешно защитить веб-серверы от Heartbleed и Shellshock — до того, как эти уязвимости стали известны», — подчеркнул Евгений Миньковский.
Евгений Миньковский выступил также в секции «Стандарты новых знаний» и обратил внимание коллег, что в бесконечном списке вузовских специальностей, связанных с информационной безопасностью, нет таких, которые бы подошли для исследовательского центра Positive Technologies: «Российские вузы готовят большое число узких специалистов по защите от различных угроз, но совершенно не предлагают "нападающих" — людей, которые бы вели исследовательскую работу и искали уязвимости. Как мы будем через несколько лет защищать свою IT-инфраструктуру — если собираемся вывести на поле команду, целиком составленную из 11 вратарей?»
С полной программой форума можно ознакомиться на официальном сайте.
Напомним, что «Инфофорум» прошел в Москве 5 и 6 февраля 2015 года. Компания Positive Technologies традиционно выступала в качестве Серебряного партнера мероприятия.